Ta的论坛

[求助]win10 x64如何获取KeUpdateSystemTime函数地址
BOOLEAN IsTimeFunctionHooked()

{

PUCHAR pfnKeQueryPerformanceCounter = (PUCHAR)GetNtosFunctionAddress(L"KeQueryPerformanceCounter");

PUCHAR pfnKeUpdateSystemTime = (PUCHAR)GetNtosFunctionAddress(L"KeUpdateSystemTime");

if(pfnKeQueryPerformanceCounter && MmIsAddressValid(pfnKeQueryPerformanceCounter))

{

#ifdef AMD64

if(*pfnKeQueryPerformanceCounter==0xFF && *(pfnKeQueryPerformanceCounter+1)==0x25)

{

return TRUE;

}

#else

if(*pfnKeQueryPerformanceCounter==0xE9)

{

return TRUE;

}

#endif

}

if(pfnKeUpdateSystemTime && MmIsAddressValid(pfnKeUpdateSystemTime))

{

#ifdef AMD64

if(*pfnKeUpdateSystemTime==0xFF && *(pfnKeUpdateSystemTime+1)==0x25)

{

return TRUE;

}

#else

if(*pfnKeUpdateSystemTime==0xE9)

{

return TRUE;

}

#endif

}

return FALSE;

}

固件安全

雪币： 10704

活跃值： (920)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

23

粉丝

0

关注

私信

固件安全 2019-3-10 08:58: 0

[原创]穿山甲的菊花开了
给力，大佬

固件安全

雪币： 10704

活跃值： (920)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

23

粉丝

0

关注

私信

固件安全 2019-3-6 09:19: 0

[原创]一个无聊的读写方法
这样这个线程不是无法死亡了，一直不返回会出事的吧，估计已经被鹅厂安排了吧

固件安全

雪币： 10704

活跃值： (920)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

23

粉丝

0

关注

私信

固件安全 2019-1-13 09:22: 0

[原创]DXX CX NX 调试原理。思路来自于山总的调试器对系统打补丁

支持，虽然不知道讲的什么

固件安全

雪币： 10704

活跃值： (920)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

23

粉丝

0

关注

私信

固件安全 2019-1-6 09:06: 1

[原创] 手动分析VMP加密的x64驱动导入表
给力，表哥nb

固件安全

雪币： 10704

活跃值： (920)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

23

粉丝

0

关注

私信

固件安全 2018-12-31 09:28: 0

[求助]e语言输出汉字问题

buffer 文本型

number 整数

readprocessmemory（hwnd，&地址，&buffer，想读取的长度，&bumber）

最后于 2018-12-31 09:30 被固件安全编辑，原因：

固件安全

雪币： 10704

活跃值： (920)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

23

粉丝

0

关注

私信

固件安全 2018-12-28 19:11: 0

[原创] ObRegisterCallbacks 保护进程对象以及反ObRegisterCallbacks的分析与实现
给力，新思路搞定callback，

固件安全

雪币： 10704

活跃值： (920)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

23

粉丝

0

关注

私信

固件安全 2018-12-7 08:58: 0

[注意]东莞网警火速侦破“12.05”特大新型勒索病毒破坏计算机信息系统案
软件写的好，头顶秃的早

——我变强了，也变秃了

固件安全

雪币： 10704

活跃值： (920)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

23

粉丝

0

关注

私信

固件安全 2018-12-5 09:12: 0

[原创]发现最近好多在说T*启动时清空CR3 如何去恢复。方法很简单。我把代码今天贴出来。

当场逮捕，这只是鹅厂员工没把事情做绝吧，毕竟都接管msr了，话说这方法应该被安排的明明白白了吧

固件安全雪币： 10704 活跃值： (920) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	固件安全 2025-12-15 16:57 0 [原创]无需解密页帧中的进程结构来获取真实CR3 看看学习学习
固件安全雪币： 10704 活跃值： (920) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	固件安全 2021-10-24 08:10 0 [下载]经典好东西-计算机黑皮书(246本）速速收藏。 666好东西，收藏了
固件安全雪币： 10704 活跃值： (920) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	固件安全 2020-9-13 06:43 0 [原创]DXF公告Call分析龟哥牛啤
固件安全雪币： 10704 活跃值： (920) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	固件安全 2020-3-17 08:27 0 [公告]关于Chrome 80版本部分用户登陆不了bbs.pediy.com临时解决方案。换mozillafirefox保平安
固件安全雪币： 10704 活跃值： (920) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	固件安全 2019-9-4 10:31 0 如何调试PG？ 666，大佬
固件安全雪币： 10704 活跃值： (920) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	固件安全 2019-6-18 07:34 0 [原创]迅雷下载服务加速节点的来源分析以前试过迅雷下载3k上传512k，被割韭菜了
固件安全雪币： 10704 活跃值： (920) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	固件安全 2019-5-7 06:39 0 [分享]利用VPS服务器ubuntu_Linux配置VPN 用pptp怕是家里有矿，ssr也不够安全
固件安全雪币： 10704 活跃值： (920) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	固件安全 2019-4-28 08:14 0 [原创]某渊某音游的dll保护分析，以及偷学一点Unity代码保护思路分析的很好，
固件安全雪币： 10704 活跃值： (920) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	固件安全 2019-4-9 08:06 0 [原创]浅析：爱国大黑客的病毒木马-CATGAMES NB，就是表情包出戏了
固件安全雪币： 10704 活跃值： (920) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	固件安全 2019-4-4 07:54 0 棘手：对 “Windows内存不足后无法重启”问题的分析与讨论。内存不够，硬盘来凑，
固件安全雪币： 10704 活跃值： (920) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	固件安全 2019-4-4 07:53 0 棘手：对 “Windows内存不足后无法重启”问题的分析与讨论。创建虚拟机的时候有没有看过一句话，超出此大小可能发生内存交换
固件安全雪币： 10704 活跃值： (920) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	固件安全 2019-3-25 11:52 0 [求助]win10 x64如何获取KeUpdateSystemTime函数地址 BOOLEAN IsTimeFunctionHooked() { PUCHAR pfnKeQueryPerformanceCounter = (PUCHAR)GetNtosFunctionAddress(L"KeQueryPerformanceCounter"); PUCHAR pfnKeUpdateSystemTime = (PUCHAR)GetNtosFunctionAddress(L"KeUpdateSystemTime"); if(pfnKeQueryPerformanceCounter && MmIsAddressValid(pfnKeQueryPerformanceCounter)) { #ifdef AMD64 if(pfnKeQueryPerformanceCounter==0xFF && (pfnKeQueryPerformanceCounter+1)==0x25) { return TRUE; } #else if(pfnKeQueryPerformanceCounter==0xE9) { return TRUE; } #endif } if(pfnKeUpdateSystemTime && MmIsAddressValid(pfnKeUpdateSystemTime)) { #ifdef AMD64 if(pfnKeUpdateSystemTime==0xFF && (pfnKeUpdateSystemTime+1)==0x25) { return TRUE; } #else if(pfnKeUpdateSystemTime==0xE9) { return TRUE; } #endif } return FALSE; }
固件安全雪币： 10704 活跃值： (920) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	固件安全 2019-3-10 08:58 0 [原创]穿山甲的菊花开了给力，大佬
固件安全雪币： 10704 活跃值： (920) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	固件安全 2019-3-6 09:19 0 [原创]一个无聊的读写方法这样这个线程不是无法死亡了，一直不返回会出事的吧，估计已经被鹅厂安排了吧
固件安全雪币： 10704 活跃值： (920) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	固件安全 2019-1-13 09:22 0 [原创]DXX CX NX 调试原理。思路来自于山总的调试器对系统打补丁支持，虽然不知道讲的什么
固件安全雪币： 10704 活跃值： (920) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	固件安全 2019-1-6 09:06 1 [原创] 手动分析VMP加密的x64驱动导入表给力，表哥nb
固件安全雪币： 10704 活跃值： (920) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	固件安全 2018-12-31 09:28 0 [求助]e语言输出汉字问题 buffer 文本型 number 整数 readprocessmemory（hwnd，&地址，&buffer，想读取的长度，&bumber）最后于 2018-12-31 09:30 被固件安全编辑，原因：
固件安全雪币： 10704 活跃值： (920) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	固件安全 2018-12-28 19:11 0 [原创] ObRegisterCallbacks 保护进程对象以及反ObRegisterCallbacks的分析与实现给力，新思路搞定callback，
固件安全雪币： 10704 活跃值： (920) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	固件安全 2018-12-7 08:58 0 [注意]东莞网警火速侦破“12.05”特大新型勒索病毒破坏计算机信息系统案软件写的好，头顶秃的早 ——我变强了，也变秃了
固件安全雪币： 10704 活跃值： (920) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	固件安全 2018-12-5 09:12 0 [原创]发现最近好多在说T*启动时清空CR3 如何去恢复。方法很简单。我把代码今天贴出来。当场逮捕，这只是鹅厂员工没把事情做绝吧，毕竟都接管msr了，话说这方法应该被安排的明明白白了吧

{{ user_info.username }}